Neue Tor-Browser-Version mit Sicherheitsupdates

Der anonymisierende Tor Browser, den man für den Zugang zum Darknet braucht, ist gerade in der Version 10.5.5 für Windows, Linux, macOS und Android erschienen. Neben den üblichen Bugfixes und Komponenten-Updates bringt die neueste Ausgabe des Browsers auch mehrere sicherheitsrelevante Aktualisierungen. Tor und Firefox-Basis abgesichert Die vom Tor-Browser benutzte Version des Tor-Netzwerks zur Anonymisierung wurde auf Version 0.4.5.10 aktualisiert. Mit dem Update wird eine Schwachstelle beseitigt, die entfernten Angreifern ohne vorherige Authentifizierung unter bestimmten Voraussetzungen die Durchführung von Denial-of-Service-Angriffen ermöglicht hätte. Informationen zu verwundbaren und abgesicherten Tor-Versionen finden Sie in einem Advisory des DFN-CERT zu CVE-2021-38385 und in einem Blogeintrag zu den aktuellen Tor-Releases. Die Android-Version des Tor-Browsers basiert  jetzt auf der neueren Firefox-Version 91.2.0. Sie kommt mit Fixes für mehrere Sicherheitslücken, von denen ein zum Teil hohes Risiko ausgeht. Nach Informationen aus Mozillas Security Advisory zu Firefox 91 könnten die Lücken unter anderem für ausnutzbare Programmabstürze und (mit viel Aufwand) auch zur Codeausführung missbraucht werden. Download und weitere Informationen Alle Neuerungen werden im Blogeintrag zum Tor Browser 10.5.5 beschrieben. Darin findet sich auch ein Hinweis, dass der Support für die Onion Services (Tor Hidden Services) v2 durch den Tor Browser "sehr bald" zugunsten von v3 eingestellt werde. Browser-Nutzer sollten ihre Bookmarks fürs Darknet deshalb auch auf v3-Onion-Adressen aktualisieren. Den Tor Browser 10.5.5 [...]

2021-08-23T17:07:48+02:00August 23rd, 2021|Browser, Sicherheit|Kommentare deaktiviert für Neue Tor-Browser-Version mit Sicherheitsupdates
Weiterlesen

Sicherheitsupdates für Firefox, Thunderbird und Tor Browser

Schon der reine Besuch einer von Angreifern entsprechend präparierten Internetseite mit dem Browser Firefox kann zu Abstürzen führen. Angreifer könnten Systeme mit Mozillas Webbrowser Firefox, dessen Langzeitversion Firefox ESR und dem auf Firefox basierenden anonymisierenden Tor-Browser angreifen. Auch Sicherheitslücken in Mozillas Mailclient Thunderbird machen Rechner angreifbar. Gegen diese Probleme stehen abgesicherte Version stehen zum Download bereit. Einer entsprechenden Warnmeldung kann man entnehmen, dass die Entwickler in Firefox 90 neun Sicherheitslücken und in Firefox ESR 78.12 drei Lücken geschlossen haben. Die Firefox-Schwachstellen Mehrere dieser Lücken wurden mit dem Bedrohungsgrad "hoch" eingestuft. Die Schwachstelle (CVE-2021-29970) gilt als die gefährlichste, weil sie durch von den Angreifern ausgelöste Speicherfehler DoS-Attacken möglich macht. Erfolgreich Angriffe führen letztlich zu Abstürzen. Oft können Angreifer dabei aber auch durch Speicherfehler Schadcode auf die Systeme übertragen und ausführen. Allerdings sind Angriffe aber nur dann möglich, wenn die Barrierefreiheit-Funktion des Browsers aktiviert ist und vor allem, wenn die Opfer sich von Angreifern auf eine solche präparierte Website locken lassen. Die Thunderbird-Schwachstellen Mit Thunderbird 78.12 haben die Entwickler vier Schwachstellen ("hoch") geschlossen. Hier konnten Angreifer zum Beispiel unter bestimmten Voraussetzungen IMAP-Server manipulieren. Mit Tor wieder sicher anonym surfen Der Tor Browser wird genutzt, um das Surfen zu anonymisieren. Damit das auch sichergestellt ist, sollten die Benutzer die aktuelle Version [...]

2021-07-14T15:56:13+02:00Juli 14th, 2021|Browser, Sicherheit|Kommentare deaktiviert für Sicherheitsupdates für Firefox, Thunderbird und Tor Browser
Weiterlesen

Tor-Browser-Update schließt kritische Firefox ESR-Lücke

Das erste stabile Tor Browser-Release des neuen Jahres steht seit dem gestrigen Mittwoch für die Betriebssysteme Windows, macOS und Linux zum Download bereit. Auch für das mobile Betriebssystem Android ist diese Version verfügbar. Die Version Tor 10.0.8 des anonymisierenden Web-Browsers auf Firefox-ESR-Basis bringt mit der Aktualisierung auf Firefox ESR 78.6.1  ein wichtiges Sicherheitsupdate für die Desktop-Varianten. Bei der mobilen Browser-Version  wurde Firefox für Android auf die Version 84.1.4 angehoben. Dazu kommen jeweils ein Update des Skriptblockers NoScript auf die Version 11.1.7 und auch Browser-Bugfixes unter macOS und Android. Mit der Firefox ESR-Version 78.6.1 wurde der Browser von Mozilla gegen eine kritische Sicherheitslücke abgesichert. Ergänzende Informationen und Download Informationen zu dem Update finden Nutzer in Changelog der Release-Ankündigung zum Tor Browser 10.0.8. Die neue Tor Browser-Version kann ab sofort von der offiziellen Download-Site oder aus dem Distribution Directory heruntergeladen werden. Wegen des wichtigen Schließung der Sicherheitslücke in der Firefox ESR-Basis empfehlen wir das zeitnahe Aktualisieren schon bestehender Installationen.

2021-01-14T17:04:35+02:00Januar 14th, 2021|Browser, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Tor-Browser-Update schließt kritische Firefox ESR-Lücke
Weiterlesen

HTML5-Sicherheitsupdates für den Browser Firefox

Probleme mit HTML5 haben Mozilla jetzt veranlasst, Sicherheitsupdates herauszubringen: Die Browser Firefox, Firefox ESR und der anonymisierende Tor Browser, die Eintrittskarte für das Dark Net, sind durch HTML5 verwundbar. Alle Benutzer sollten deshalb die von Hersteller Mozilla herausgegebenen, abgesicherten Ausgaben umgehend installieren. Mozilla stuft das Risiko in seiner Sicherheitswarnung dazu insgesamt als "kritisch" ein. Details zu den Sicherheitslücken Wenn Angreifer die Lücken ausnutzen, sollen sie in vielen Fällen Speicherfehler auslösen können. Wenn das dann passiert ist, stürzen Programme in aller Regel ab (DoS-Attacke). Auf diesem Weg aber ist es dann aber auch häufig möglich, Schadcode ausführen zu lassen. In einem Fall (CVE-2018-18500) reicht es nach Angaben von Mozilla schon aus, wenn Firefox bestimmte HTML5-Streams verarbeitet, um einen Angriff durchzuführen. Mozilla hat abgesicherte Versionen von Firfox 65, Firefox ESR 60.5 und Tor Browser 8.0.5 zum Download bereitgestellt. Der Tor Browser die Sicherheitslücken deshalb auf, weil er auf dem Firefox ESR aufbaut. Laut einem Blog-Eintrag der Tor-Entwickler haben sie bei dieser Gelegenheit auch noch weitere Bugs gefixt und auch aktuelle Versionen von HTTPS Everywhere und NoScript implementiert.

2019-02-03T00:46:25+02:00Februar 3rd, 2019|Browser, Coding, HTML|Kommentare deaktiviert für HTML5-Sicherheitsupdates für den Browser Firefox
Weiterlesen

Wichtiges Sicherheitsupdate für Firefox-Browser

Gestern hat Mozilla das wichtige Update seines Browsers auf Firefox 63 veröffentlicht und ruft die Benutzer von Firefox, Firefox ESR und dem Tor-Browser auf, das knapp 30 MB große Update schnellstmöglich durchzuführen. Andernfalls könnten Angreifer den Browser über eine DoS-Attacke ausschalten und dabei sogar Schadcode audführen. Mit Firefox 63 werden zwei kritische Sicherheitslücken geschlossen Besonders gefährlich sind zwei als „kritisch“ eingestufte Sicherheitslücken, über die Angreifer aus der Ferne Speicherfehler auslösen können, um dann eigenen Code auszuführen. Wenn es dazu kommt, kann der angegriffene Computer komplett von den Angreifern übernommen werden. Betroffene Firefox-Versionen Neben den Firefox- Versionen für Linux-, macOS- und Windows ist auch die Android-Ausgabe von Firefox gefährdet. Die abgesicherte Version des „normalen“ Firefox 63 und des Firefox ESR 60.3 (mit Langzeitsupport) stehen schon zum Download bereit. Auch der Tor-Browser, unter anderem die Eintrittskarte ins DarkNet, baut auf Firefox ESR auf und die Entwickler haben inzwischen auch schon die Schwachstellen in der Version 8.5a4 geschlossen. Außer den Sicherheitsupdates stecken im aktuellen Tor-Browser noch aktualisierte Versionen von unter anderem HTTPS Everywhere (2018.9.19) und NoScript (10.1.9.9). Darüber hinaus haben sich die Entwickler auch um einige Fehler gekümmert, was man der offiziellen Ankündigung entnehmen kann.

2018-10-28T19:33:34+02:00Oktober 24th, 2018|Browser, Webwerkzeuge|Kommentare deaktiviert für Wichtiges Sicherheitsupdate für Firefox-Browser
Weiterlesen

Browser-Updates für Firefox, Firefox ESR und Tor

In Firefox, Firefox ESR (Extended Support Release) sowie dem auf ESR basierenden Tor Browser finden sich mehrere Sicherheitslücken, die Angreifern unter bestimmten Umständen das Ausspähen von Informationen, Cross-Site-Scripting-Angriffe und sogar das Ausführen beliebigen Codes mit den Rechten des Browsers möglich machen. Nach aktuellen Sicherheitshinweisen von Mozilla sind alle Vorgänger-Versionen des Browsers Firefox 57 aka Quantum und Firefox ESR vor dem aktuellen Release 52.5 betroffen. Die Versionen vor 7.0.10 des anonymisierenden Tor Browsers sind such verwundbar, weil der Tor-Browser auf Firefox ESR aufsetzt. Unter den insgesamt 15 in Firefox geschlossenen Sicherheitslücken bewerten die Entwickler drei als "kritisch" und eine als "hoch". Weitere elf Lücken ordnen sie als "niedrig" bis "mittel" ein. Das Notfallteam des BSI CERT Bund sieht das aber durchaus etwas anders: Es stufte das von den Sicherheitslücken ausgehende Risiko durchgängig als "sehr hoch" ein. Benutzer sollten in jedem Fall zügig updaten: Die abgesicherten Versionen des im Zuge des Projekts Quantum rundum überarbeiteten und nun deutlich schnelleren und ressourcenschonenderen Firefox 57 und von ESR 52.5 stehen zum Download bereit. Das gilt auch für den auf ESR 52.5 basierenden Tor Browser 7.0.10.

2017-11-17T09:24:08+02:00November 16th, 2017|Browser, Webwerkzeuge|Kommentare deaktiviert für Browser-Updates für Firefox, Firefox ESR und Tor
Weiterlesen

Zero-Day-Lücke in Firefox geschlossen

Mozilla hat soeben seinen Browser Firefox auf die Version 50.0.2 aktualisiert. Das ist inzwischen schon das zweite Update außer der Reihe für den Feuerfuchs innerhalb einer Woche. Mit diesem Patch schließen die Entwickler eine vorgestern bekannt gewordene kritische Zero-Day-Lücke, die insbesondere die Nutzer des Browsers als Tor-Browser für das Anonymisierungsnetzwerk The Onion Router (Tor) bedrohte. Nach dem Security Advisory steckte das Problem in der Browser-Komponente SVG Animation: ein Use-after-free-Bug erlaubte es, Schadcode einzuschleusen und dann auch auszuführen. Davon betroffen sind Firefox 50.0.1 und ältere Versionen, das Extended Support Release 45.5.0 und der Email-Client Thunderbird in Version 45.5.0 und älter. Das Firefox-Update kann man seit gestern manuell für Windows, Mac OS X und Linux von Mozillas Internetseite herunterladen. Vorhandene Firefox-Installationen sollten sich inzwischen schon automatisch aktualisiert haben.

2016-12-02T12:14:12+02:00Dezember 2nd, 2016|CSS, HTML, Javascript|Kommentare deaktiviert für Zero-Day-Lücke in Firefox geschlossen
Weiterlesen
Nach oben